N° 01 — 목록
'cilium' (2)
-
Tech Artifacts/K8s SecurityK8s Security - 09. network security
"내부라서 안전하다"를 부정하는 모델 — zero-trust와 네트워크 보안한 조직이 클러스터 네트워크를 "내부는 믿을 수 있다"는 가정 위에 세웠다. Pod는 서로 자유롭게 통신했고, NetworkPolicy는 없었다(이게 Kubernetes의 기본값이다 ). 그러다 한 Pod가 취약점으로 뚫렸다. 공격자는 그 Pod에서 출발해 클러스터 전체를 횡단했다. 다른 Pod로의 연결을 막는 벽이 아예 없었으니까. zero-trust는 바로 이 가정을 부정한다 — "내부도 불신한다. 누가 누구와 통신하나를 명시적으로 허용한다." 이 글은 네트워크 보안이 이 원칙을 어떻게 실현하고, 이미 본 NetworkPolicy와 Calico/Cilium 정책·메시 정책이 어떻게 함께 한 벽이 되는지를 따진다.zero-tru..
-
Tech Artifacts/K8s NetworkingK8s Networking - 05. cilium ebpf
Cilium이 eBPF로 kube-proxy를 통째로 바꾸는 법한 클러스터의 노드가 2000개였다. Service가 만 개 넘게 있었고, kube-proxy가 각 노드에 만든 iptables 규칙이 수십만 줄이었다. 패킷 하나를 라우팅할 때마다 커널이 그 규칙을 선형으로 훑었다 — 지연이 눈에 띄게 커졌다. 팀은 Cilium으로 전환했다. kube-proxy를 끄고, eBPF가 라우팅을 직접 처리하게 했다. 규칙이 해시 테이블로 바뀌어 거의 일정한 속도로 떨어졌다.이 글이 푸는 것은: Cilium이 eBPF로 왜 iptables/kube-proxy를 대체할 수 있는가, 그리고 그것이 단순히 "빠른 CNI"가 아니라 근본적으로 다른 데이터플레인인 이유다.왜 iptables가 규모에서 무너지나 — 선형 탐색..